Product SiteDocumentation Site

C.2. dm-crypt/LUKS を使用してブロックデバイスを暗号化

LUKS (Linux Unified Key Setup) はブロックデバイス暗号化の仕様です。 これはデータ用にデスク上の形式を確立し、更にはパスフレーズ/キーの管理ポリシーを確立するものです。
LUKS は dm-crypt でカーネルのデバイスマッパーサブシステムを使用します。 これによりデバイスデータの暗号および解読を処理する低レベルのマッピングが可能になります。 暗号化されたデバイスの作成やアクセスなど、 ユーザーレベルの操作は cryptsetup ユーティリティを使用して行われます。

C.2.1. LUKS の概要

  • LUKS で出来ること:
    • LUKS はブロックデバイス全体を暗号化します。
      • そのため、LUKS は以下のようなモバイルデバイスのコンテンツの保護用に 適切なものです:
        • 脱着可能なストレージデバイス
        • ラップトップディスクドライブ
    • 暗号化したブロックデバイスの背後にあるコンテンツは任意なものです。
      • これが swap デバイスの暗号化を役立つようにします。
      • これは、データストレージ用に特別にフォーマットされたブロックデバイスを使用する 特定のデータベースにも役に立ちます。
    • LUKS は既存のデバイスマッパーカーネルサブシステムを使用します。
      • これは LVM で使用されるサブシステムと同じであるため、十分に テスト済みです。
    • LUKS はパスフレーズ強化を提供します。
      • これにより、辞書攻撃に対して保護します。
    • LUKS デバイスには複数のキースロットが含まれます。
      • これにより、ユーザーがバックアップのキー/パスフレーズを追加 できるようになります。
  • LUKS で できない こと:
    • LUKS は、同じデバイスに対して多くのユーザー(8人以上)が 別々のアクセスを要求するアプリケーションには適していません。
    • LUKS はファイルレベルの暗号化を必要とするアプリケーションには適していません。
LUKS に関する詳細情報はプロジェクトウェブサイト http://code.google.com/p/cryptsetup/ でご覧になれます。